用户认证安全
05
Windows 10 管理— 企业数据安全

跟以前的 Windows 版本相比,Windows 10 大大增强了安全方面的特性,能够有效地抵抗垃圾邮件、恶意软件、网络欺诈等方面的威胁。

✰ 用户身份保护:Windows 10 新增了原生的多因子认证功能,Windows Hello 是 Widows 10 内置的生物识别登录系统,允许面部或指纹标识解锁用户的设备。Windows Hello 为设备识别个人用户提供了可靠的方法,然后通过 Microsoft Passport 来获得访问每一个应用的授权。
✰ 数据加密:内置 Bitlocker 加密功能,用户在 Explorer 使用右键菜单就可以启用这一功能。新增 Enterprise Data Protection 功能能够区分企业和个人数据,并把企业数据进行保护。
✰ 阻止威胁:Windows 10 的设备卫士(Device Guard)通过数字签名来确保系统只安装受信任的软件,Windows 自带的杀毒功能 Defender 能够有效拦截恶意软件。
✰ 硬件保证的安全性:Windows 10 结合硬件来提供更加保护措施,例如安全启动(Secure Boot)防止了任何硬件固件被窜改的可能性,TPM(Trusted Platform Module)芯片保证了用户生物因子特征和私钥的安全性。

移动设备安全保护是 Workspace ONE(或 AirWatch)的传统强项,Workspace ONE 除了 Windows 10 原生的安全特性之外还增加了很多额外的安全防护措施,来为企业应用和数据提供全方位的安全防护。

Workspace ONE 特有的条件访问(Conditional Access)功能能够根据设备的状态来控制用户对于特定应用和数据的访问,例如当用户在公司办公区域时,他的笔记本能够访问任何公司数据;但是当他在外出差时,通过公共网络就不能访问公司敏感数据。
确保设备健康
Workspace ONE 可以定义设备上可运行应用的白名单(或者是禁止运行应用的黑名单),从而仅允许受信任的应用运行,避免任何由于第三方软件所带来的威胁。另外,Workspace ONE 也能利用 Windows 10 新提供的应用安全沙箱,让应用在沙箱中运行,从而把该应用和其他的操作系统环境隔离开来,即便应用中含有恶意代码,也无法危害操作系统或其他应用。

利用 Device Guard 来阻止用户安装 OpenOffice

Workspace ONE 的 AirWatch Agent 运行在纳管的 Windows 10 系统中,能够实时发现设备的循规情况,如硬盘是否加密、是否启用 Secure Boot 和 Device Guard 等安全特性。管理员可以定义循规策略,例如:一旦发现某个设备违反了循规策略,就可以阻止它上面的应用访问企业数据;情况严重的话,甚至可以阻止所有纳管应用的运行,并且执行企业擦除和发邮件通知管理员。
基于设备姿态和循规状态的设备安全
企业数据保护 EDP(Enterprise Data Protection)

Workspace ONE 可以通过指定数据来源来指定受保护的企业数据,例如来自于指定的域名或IP地址范围内的服务器上的数据被定义成为企业数据;另外管理员也会指定一组企业应用,凡是企业应用访问的数据就是企业数据。利用企业数据和企业应用,管理员就可以指定企业数据的保护级别:
✰ 最低级别:允许企业数据被非企业应用所访问;加密企业数据,允许非企业应用访问企业数据,但该动作会被审计记录;加密企业数据,非企业应用访问企业数据前会提示用户,并且该动作会被审计记录;
✰ 最高级别:加密企业数据,并禁止任何非企业应用访问。
下图展示的就是企业应用 Outlook 受 AirWatch(Workspace ONE)保护的场景,Outlook 把邮件附件的 PPT 文件保存在桌面上后,该文件图标上带有 EDP(Enterprise Data Protection)锁形标记,当用户试图用非企业应用 WordPad 去打开该文件时,就会被拒绝打开。同样地,如果用户从 Outlook 中复制部分邮件内容粘贴到微信(非企业应用)时,系统也会阻止该操作并提示。
网络通讯安全

VPN 的全称是虚拟专用网络(Virtual Private Network),用于在公用网络上建立专用网络,进行加密通讯。Windows 上自带的 VPN 都是设备级的,一旦建立连接接入企业网络,设备上所有的应用都可以访问企业网络,虽然还有防火墙等传统的网络安全措施,还是存在一定的安全隐患。
Workspace ONE 可以让应用跟后台数据中心建立起应用级(Per-App)VPN,即建立的 VPN 通道仅供当前的企业应用使用,所有其他的应用都无法访问该加密通道。这种方式可以大大提高数据通讯的安全性,杜绝了其他无关应用(甚至是恶意软件)通过 VPN 通道访问企业数据中心的可能。
更进一步,如果企业数据中心部署了 VMware 的网络虚拟化产品 NSX 产品,利用 NSX 的微分段技术(Micro-Segmentation),应用级 VPN 可以进一步地做到让该应用仅与后台的某一台服务器进行通讯,从而提供更高的网络安全性。
数据不落地

Workspace ONE 整合了 VMware 终端用户计算(End User Computing)的两大产品线:统一端点管理 AirWatch + 桌面和应用虚拟化平台 Horizon。要想彻底保证企业数据的安全,可以通过虚拟桌面和远程应用把企业应用和数据放在数据中心,而不是移动设备这一端,企业数据始终没有物理存放到设备这一端,这种方案称之为“数据不落地”。

